Kerberos ve AD kullanarak NFS3 montajı

9

Kerberos kullanarak Windows (Server 2008) NFS paylaşımından ev dizinlerini otomatikleştirmesi gereken bir Linux sunucum (Centos 5.6) var. Kimlik doğrulama kapalıysa paylaşım bağlanır (hiç kimse kullanıcı ve grup olmadan). Ancak -o sec=krb5bayrak geçerse, anlarım mount.nfs: permission denied.

Kök olarak eskiden kinitbilet alırdım ve klistbunun geçerli bir bilet olduğunu söylerdim. Hatayı araştırmak, bir hepsini yakalama gibi göründüğü için çok fazla vermedi. Baktığım günlüklerin hiçbirinde kullanışlı bir şey bulunamadı. Kök erişimine Windows paylaşımında izin verildi.

Windows'dan paylaşım nedeniyle, sunucu ayarlarını değiştirmeyi söyleyen kaynakların çoğu doğrudan geçerli değildir.

Bunu işe almak için herhangi bir fikir var mı?

linux  windows-server-2008  nfs 
Ethan
kaynak
1
Pencerelerin NFS4'te dışa aktarılabileceğinden emin misiniz? AFAIK, kerberos kullanmak için NFS4'e ihtiyacınız var.
wazoox
Üzgünüm, bu NFS3. Windows - bildiklerime göre - sadece NFS3'ü destekliyor. Ancak, Windows'ta NFS için seçenekler sayfası KRB5 ve KRB5i'yi seçenekler olarak listeler, bu yüzden çalıştığını varsaydım.
Ethan

Yanıtlar:

1

Beni yakalayan - ve yaşadığınız problem gibi görünen - kökün kullanmadığı ... kinit'ten ne elde ederseniz edin.

Listeleyebileceğiniz /etc/krb5.keytab dosyasını kullanır klist -kt. Hangi işletim sistemi sürümüne bağlı olarak, bir HOST hizmet yöneticisine veya - eski sürümler için - bir nfs hizmet yöneticisine ihtiyaç duyar.

net ads joinve net ads keytab createilk bölümü yapacak - ana bilgisayar anahtar sekmesini oluşturma. RHEL 5 için, istemcinizde NFS kaynağına erişmesine izin vermek için bir nfs Hizmet Yöneticisi oluşturmanız gerektiğinden eminim. Aynı şeyin Centos 5.6 için de geçerli olduğunu düşünürdüm, ama% 100 emin değilim. Sana kafamın üstünden talimatlar veremem - bir göz atacağım ve daha fazla ayrıntı bulabiliyorum. (Bunu yaptım ve kesinlikle RHEL'de bu şekilde çalışıyor, ancak talimatları alıntısam, yanlış anlayacağım yeterince uzun zaman önce).

Ateşleyerek sorun giderebilirsiniz rpc.gssd -f -vvv

Sobrique
kaynak
0

Tamam, biraz araştırma yaptıktan sonra , bir Solaris istemcisi ile aradığınızı nasıl elde edeceğinizi açıklayan bu makaleyi buldum . Bu diğer belgelerin müşteri kısmına bakarak belki de her şeyin çalışmasını sağlayabilirsiniz ...

Görünüşe göre NFS3'ü linux altında kerberos'a karşı kimlik doğrulaması yapmaktan gördüğümden, düşündüğümün aksine mümkün olmalı; ancak bilgi inanılmaz derecede azdır.

En kötü durumda, CIFS montajını kullanmanızı engelleyen nedir? Oldukça iyi bir şekilde desteklendikten ve dokümantasyon sona erdiğinde.

wazoox
kaynak
1
CIFS'nin çalışmasını sağlamaya çalıştık ve düzgün bir şekilde monte edilmesini sağlayabilirken, kimlik bilgilerinin CentOS 5 üzerinde çalışması için gerekli PAM modülünü alamadık. Yarın bunu test edebileceğim.
Ethan
1
Buna baktım ve farklı yapılandırılmış bir şey görmedim. Görünüşe göre Windows burada yanlış davranıyor ve tabii ki o sunucuya erişimim yok. (Bağlantının Windows'a gelmesini ve onunla hiçbir şey yapmamasını izleyebiliriz)
Ethan
Hmm, Unix Hizmetlerinin bazen yeniden başlatılması gerektiğini duydum, denemeye değer olabilir ...
wazoox
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.